Il CERT-AgID comunica l’emergere di un significativo cambiamento nelle operazioni del gruppo ransomware “The Gentlemen”, che in meno di un anno avrebbe rivendicato circa 500 vittime a livello globale, grazie all’integrazione sistematica di modelli di linguaggio (LLM) nei propri processi di attacco.
Le evidenze investigative mostrano un uso strutturato dell’AI come acceleratore operativo in quattro fasi principali: analisi automatizzata dei dati esfiltrati (con estrazione rapida di credenziali e cookie tramite modelli open-weight), sviluppo accelerato di strumenti e piattaforme di negoziazione (vibe-coding in pochi giorni), ingegneria sociale altamente personalizzata basata sui dati delle vittime e riutilizzo di leak e manuali di altri gruppi criminali per ottimizzare tattiche e procedure.
Il gruppo opera con modello Ransomware-as-a-Service (RaaS), offrendo agli affiliati fino al 90% dei riscatti. L’accesso iniziale avviene principalmente tramite credenziali rubate da infostealer o sfruttamento di vulnerabilità non patchate su dispositivi Cisco e Fortinet. Il payload ransomware, sviluppato in varianti Windows, Linux ed ESXi, include una versione in Go dotata del parametro “—spread”, capace di propagazione automatica in stile worm.
Il CERT-AgID evidenzia inoltre la rapida capacità di adattamento del gruppo, che dopo un data leak avvenuto a maggio 2026 ha migrato immediatamente la propria infrastruttura. Le raccomandazioni restano focalizzate su patch management tempestivo, aggiornamento continuo degli IoC e bonifica immediata.
